漏洞描述
泛微e-Weaver是一款基于J2EE架构的协同管理配置平台,支持多种系统环境部署,满足不同类型企业的需求。它通过“工作流引擎+卡片/表单+组件”模式,提供高度灵活的配置应用,助力企业实现全面协同管理。e-Weaver具备强大的流程建模、报表分析、数据承载和组织建模能力,能够显著提升企业的运营效率和管理水平。
资产测绘
Hunter语法:app.name="泛微 e-Weaver"
漏洞复现
修复建议
- 白名单机制:对从用户输入中获取的URL进行充分验证和过滤,确保只接受合法的URL。可以使用白名单过滤机制,限制URL只能访问特定的域名或IP地址。
- 恶意域名和IP过滤:校验外部传入的域名是否恶意(如内网域名或IP),将域名DNS解析得到IP,过滤IP为内网段的请求。
升级修复方案:
官方已发布补丁
原文始发于微信公众号(WebSec):【未公开】泛微 e-Weaver系统某接口存在SSRF漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论